Nasza strona używa ciasteczek do zapamiętania Twoich preferencji oraz do celów statystycznych. Korzystanie z naszego serwisu oznacza zgodę na ciasteczka i regulamin.
Pokaż więcej informacji »
Drogi czytelniku!
Zanim klikniesz „przejdź do serwisu” prosimy, żebyś zapoznał się z niniejszą informacją dotyczącą Twoich danych osobowych.
Klikając „przejdź do serwisu” lub zamykając okno przez kliknięcie w znaczek X, udzielasz zgody na przetwarzanie danych osobowych dotyczących Twojej aktywności w Internecie (np. identyfikatory urządzenia, adres IP) przez Kolegium Europy Wschodniej im. Jana Nowaka Jeziorańskiego i Zaufanych Partnerów w celu dostosowania dostarczanych treści.
Portal Nowa Europa Wschodnia nie gromadzi danych osobowych innych za wyjątkiem adresu e-mail koniecznego do ewentualnego zalogowania się przy zakupie treści płatnych. Równocześnie dane dotyczące Twojej aktywności w Internecie wykorzystywane są do pomiaru wydajności Portalu z myślą o jego rozwoju.
Zgoda jest dobrowolna i możesz jej odmówić. Udzieloną zgodę możesz wycofać. Możesz żądać dostępu do Twoich danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania, przeniesienia danych, wyrazić sprzeciw wobec ich przetwarzania i wnieść skargę do Prezesa U.O.D.O.
Korzystanie z Portalu bez zmiany ustawień przeglądarki oznacza też zgodę na umieszczanie znaczników internetowych (cookies, itp.) na Twoich urządzeniach i odczytywanie ich (przechowywanie informacji na urządzeniu lub dostęp do nich) przez Kolegium Europy Wschodniej im. Jana Nowaka Jeziorańskiego i Zaufanych Partnerów. Zgody tej możesz odmówić lub ją ograniczyć poprzez zmianę ustawień przeglądarki.
Transatlantyk > Huzar / 29.04.2024
Andrzej Kozłowski
Wojna toczy się na cyber-Bliskim Wschodzie. Nawet Hamas rzucił wyzwanie Izraelowi
„Czarny szabat” 7 października 2023 roku wstrząsnął Izraelem, który niespodziewanie został zaatakowany przez Hamas. W odpowiedzi wojska izraelskie weszły do Strefy Gazy. Konflikt ten, podobnie jak obecnie każdy, toczy się również w cyberprzestrzeni. Czy Izrael, uznawany za państwo posiadające jeden z najlepszych systemów cyberobrony na świecie, również tam dał się zaskoczyć? Jakie są podobieństwa i różnice między działaniami w cyberprzestrzeni prowadzonymi przez Rosję i Ukrainę, które toczą ze sobą śmiertelną wojnę, a Izraelem i Hamasem?
(Shutterstock)
Posłuchaj słowa wstępnego drugiego wydania magazynu online!
Izrael jest jednym z państw posiadających najbardziej zaawansowane zdolności w cyberprzestrzeni zarówno o charakterze defensywnym, jak i ofensywnym. Perłą w koronie izraelskiej armii jest jednostka 8200, często porównywana do amerykańskiej NSA czy brytyjskiej GCHQ. To ona, wraz z NSA, miała stać za przeprowadzeniem ataku za pomocą złośliwego oprogramowania Stuxnet na ośrodek wzbogacania uranu w irańskim Natanz w latach 2005–2010, co skutecznie opóźniło irański program nuklearny, a sam Stuxnet, ze względu na stopień złożoności, określany jest mianem pierwszej cyberbroni.
Cybertwierdza Izraela
Jednostka izraelska ma na koncie więcej sukcesów, a jej żołnierze mają być autorami zaawansowanych programów szpiegowskich Duqu i Flame oraz licznych ataków m.in. na Iran, gdzie w 2020 roku udało się sparaliżować pracę portu Shahid Rajaee. Izrael posiada również rozbudowany sektor prywatny zajmujący się cyberbezpieczeństwem, który wyprodukował znane programy szpiegowskie, takie jak Pegasus czy Predator. Pomimo wysokiego poziomu cyberbezpieczeństwa, również Izraelczykom przytrafiają się wpadki. W 2020 roku dane ponad 6 milionów obywateli państwa żydowskiego wyciekły do sieci, a kilka lat wcześniej Chińczycy uzyskali informacje dotyczące systemu Żelazna Kopuła. Przypadki te pokazują, że żadne państwo nie jest bezpieczne przed wyciekami danych.
Choć Hamas nie posiada nawet porównywalnych z Izraelem zdolności w cyberprzestrzeni, nie uniemożliwiło mu to przeprowadzenia co najmniej kilku udanych ataków. Były one na tyle dotkliwe, że w 2019 roku Izraelskie Siły Powietrzne fizycznie wyeliminowały jednostkę Hamasu odpowiedzialną za operacje w cyberprzestrzeni. Stanowiło to jeden z nielicznych przypadków użycia siły wobec grupy zaangażowanej w działania w środowisku wirtualnym. Hamas mógł potem odtworzyć swoje zdolności i dalej próbować zaszkodzić izraelskim systemom i sieciom poprzez m.in. kampanie phishingowe czy złośliwe oprogramowania wymierzone w sieci i systemy IT. Nie odniósł jednak na tym polu większych sukcesów.
Zdziwienie budzi też brak zwiększonej aktywności w cyberprzestrzeni przed wydarzeniami z 7 października, o czym informuje Google. Jest to zasadnicza różnica w porównaniu do rosyjskiej napaści na Ukrainę z lutego 2022 roku, którą poprzedził atak na amerykańską spółkę Viasat zajmującą się internetem satelitarnym. Zdaniem analityków Google Hamas specjalnie nie wykorzystał swojego potencjału w cyberprzestrzeni przed zaatakowaniem Izraela. Prawdopodobnie doszedł do wniosku, że ryzyko związane z taką operacją jest większe niż potencjalne korzyści.
Bardzo szybko atak Hamasu wykorzystali inni aktorzy w regionie, wrogowie Izraela, prowadząc operacje w cyberprzestrzeni. Ich celem było zbieranie strategicznych i operacyjnych informacji, demonstrowanie w świecie arabskim zaangażowania w konflikt i wsparcia dla Palestyńczyków oraz zmniejszenie poparcia światowej opinii publicznej dla izraelskich działań w Strefie Gazy. Na cel wzięto także społeczeństwo izraelskie, zwłaszcza za pomocą operacji informacyjnych oraz techniki „hack-and-leak”, polegającej na wykorzystywaniu wykradzionych informacji w celu zdemoralizowania wroga, obniżenia zaufania do organizacji państwowych oraz przedstawienia go w złym świetle.
Szczególnie aktywne były grupy irańskie, które w ciągu pół roku od ataku z 7 października przeprowadziły około 80 proc. ataków phisingowych wspieranych przez rząd i wymierzonych w Izrael. Ich celem były organizacje rządowe, think-tanki, uniwersytety, media, politycy, dziennikarze, eksperci oraz inne osoby, które mogły posiadać cenne informacje. Warto przy tym pamiętać, że także przed atakami z 7 października Iran był jednym z najbardziej zaangażowanych graczy prowadzących wojnę cybernetyczną z Izraelem. Do ataków przeprowadzonych po 7 października wykorzystano oprogramowanie wiper o nazwie BiBi, nawiązujące do izraelskiego premiera Benjamina Netanjahu i skierowane przeciwko organizacjom z sektora prywatnego i publicznego, kontraktorom Ministerstwa Obrony oraz firmom hostującym dane. Należy podkreślić, że złośliwe oprogramowanie było ukierunkowane na urządzenia końcowe oparte na systemach operacyjnych Linux oraz Windows. Na zainfekowanych maszynach hakerzy wysyłali polecenia masowego drukowania plakatów ze sloganami uderzającymi w premiera Netanjahu.
Do ataków przyłączył się również libański Hezbollah, rozpowszechniając złośliwe oprogramowanie za pomocą fałszywych stron, na których zamieszczano informacje na temat porwanych przez Hamas Izraelczyków. Liczono, że żerując na emocjach ludzi związanych z zakładnikami, uda się rozpropagować złośliwe oprogramowanie. Hezbollah utworzył też stronę podszywającą się pod największy szpital w Izraelu – Centrum Medyczne Sheba, na której zachęcano do oddawania krwi. Była to nie tylko kolejna metoda rozpowszechniania złośliwego oprogramowania, ale również próba podważenia zaufania do instytucji publicznych. W obu przypadkach kluczowa okazała się interwencja zagranicznego podmiotu IT, czyli Google, który dodał obie witryny do swojego systemu blokującego niebezpieczne strony internetowe. Dzięki szybkiej reakcji amerykańskiego giganta udało się uniknąć skutecznej propagacji złośliwego oprogramowania.
Celem operacji, w której brały udział irańskie grupy oraz te sympatyzujące z Hamasem i Palestyną, było zakłócenie bieżącej działalności firm i uderzenie w gospodarkę Izraela. Zaatakowane przedsiębiorstwa zwracały się o pomoc do izraelskiego CERT-u – organizacji zajmującej się nadzorem i reakcją nad zagrożeniami cybernetycznymi, organów śledczych oraz firm prywatnych zajmujących się cyberbezpieczeństwem.
Na Telegramie pojawił się profil haktywistyczny, który dążył do rozpowszechniania informacji o atakach oraz publikował zdjęcia wydrukowanych sloganów uderzających w izraelskiego premiera. Podobnie sytuacja wygląda w wojnie w Ukrainie, gdzie również profile na Telegramie informują o rosyjskich atakach, często chwaląc się nieprawdziwymi sukcesami. Izraelskie służby informowały także o próbach ataków na szpitale, za którymi stać miały Iran i Hezbollah. Zadziałały jednak mechanizmy obronne, które nie pozwoliły na ingerencje w działanie placówek medycznych.
Przykłady te pokazują, w jaki sposób Iran i wspierane przez niego organizacje próbowały wykorzystać emocje, chaos oraz najbardziej palące problemy społeczne do zainfekowania jak największej liczby urządzeń końcowych w Izraelu. Z technicznego punktu widzenia ataki te nie różniły się od wcześniejszej działalności Iranu w cyberprzestrzeni, która często miała na celu zniszczenie danych oraz uszkodzenie systemów i sieci. Szczegóły dotyczące zaatakowanych obiektów w Izraelu nie są znane, jedynie wiadomo, że niektóre z nich odnotowały problemy z działalnością, co negatywnie odczuli obywatele Izraela. W szerszym kontekście operacje w cyberprzestrzeni nie wpłynęły jednak na prowadzenie operacji wojskowej przez Izrael.
W grudniu 2023 roku udało się zidentyfikować nową kampanię z użyciem złośliwego oprogramowania typu wiper, prowadzoną przeciwko rządowym i finansowym instytucjom w Izraelu. Maile phisingowe, podszywające się pod amerykańskie firmy bezpieczeństwa oraz usługodawców chmury, miały przekonać odbiorców do ściągnięcia złośliwego oprogramowania, które niszczyło pliki w systemach. Izraelska Krajowa Dyrekcja Cybernetyczna (Israel National Cyber Directorate) poinformowała o odparciu tego ataku przypisywanego Iranowi.
Jedną z charakterystycznych cech operacji w cyberprzestrzeni wymierzonych w Izrael jeszcze przed „czarnym szabatem” 7 października 2023 roku było użycie na dużą skalę złośliwego oprogramowania na urządzenia mobilne. Hamas oraz Iran próbowały zainfekować urządzenia końcowe Izraelczyków z systemem Android poprzez próbę przekonania ich do zainstalowania aplikacji podszywających się pod prawdziwe oprogramowanie. Po 7 października ataki te uległy intensyfikacji. Jednym z przykładów prób infekcji było dystrybuowanie fałszywej aplikacji alarmującej o zbliżających się rakietach, która miała zbierać informacje o użytkownikach, ich kontaktach, geolokalizacji i innych aktywnościach.
Izrael również nie pozostał bierny w tej rozgrywce i uderzał w irańską infrastrukturę krytyczną. W grudniu 2023 roku sparaliżowano 70 proc. stacji paliw w Iranie, a Iran oskarżył o ten atak „syjonistycznego wroga”.
Irańskie operacje wpływu
Iran od wielu lat rozwija swój potencjał w prowadzeniu operacji informacyjnych, w szczególności działań „hack-and-leak”. Typowa operacja w ich wykonaniu przebiegała wieloetapowo. Najpierw konta w mediach społecznościowych informują o włamaniu i wykradzeniu informacji, a następnie inne konta w mediach społecznościowych podbijają tę narracje. Atak Hamasu na Izrael i będąca tego następstwem aktywizacja irańskich grup APT, czyli zaawansowanych, wrogich graczy działających w cyberprzestrzeni, doprowadziły do licznych publikacji o rzekomym udanym zhakowaniu infrastruktury krytycznej w Izraelu. Większość z tych doniesień była mocno przesadzona, a czasem wprost nieprawdziwa. Działania te miały na celu próbę kształtowania środowiska informacyjnego oraz stworzenie przekonania o słabości izraelskiego państwa.
W październiku irańskiej grupie MARNANBRIDGE udało się włamać do poczty elektronicznej jednego z samorządów w Izraelu i następnie wysłać wiadomości do tysięcy obywateli Izraela, w których informowano ich, że Iran uzyskał dostęp do sieci i systemów samorządów w Izraelu oraz przejął dane obywateli tego państwa. Celem tej operacji było wzbudzenie strachu wśród Izraelczyków oraz podważenie zaufania do państwa. Informacje rozpowszechniano również na kontach w mediach społecznościowych. Był to właśnie przykład wyolbrzymiania znaczenia cyberataków w obszarze informacyjnym. Jedno udane włamanie do systemów samorządu w Izraelu proirańskie konta w mediach społecznościowych ukazywały jako przełamanie całego systemu zabezpieczeń wszystkich władz lokalnych i przejęcie danych Izraelczyków.
Cyber w rosyjskiej wojnie w Ukrainie i ataku Hamasu na Izrael
Patrząc na wykorzystanie czynnika cyber w rosyjskiej inwazji na Ukrainę i podczas ataku Hamasu na Izrael, okazuje się, że nie każde uderzenie kinetyczne musi zostać poprzedzone działaniami w cyberprzestrzeni. Rosja zdecydowała się na takie rozwiązanie, podczas gdy Hamas z niego zrezygnował. Domena cyber nie odegrała kluczowej roli w obu przypadkach, a duża część cyberataków zakończyła się niepowodzeniem, co zadaje kłam teoriom mówiącym o tym, że ofensywna w przestrzeni wirtualnej zawsze ma ogromną przewagę nad działaniami obronnymi. Warto tu także zwrócić uwagę na duże zaangażowanie prywatnych firm z sektora IT, które pomagały Ukrainie i Izraelowi w radzeniu sobie z rosnącą liczbą cyberataków. Wymaga to wdrożenia odpowiednich zmian organizacyjnych przez sektor prywatny oraz planów kryzysowych, gdyż z powodu swojego zaangażowania same mogą stać się celem ataku. W obu przypadkach widać również, że działania w cyberprzestrzeni przyciągają o wiele większą liczbę aktorów państwowych i niepaństwowych, którzy nie uczestniczą w bezpośrednim militarnym starciu, jednak gotowi są na aktywność w sferze cyber bez podejmowania ryzyka zaangażowania się w konflikt konwencjonalny.
Interesujące jest też połączenie tradycyjnie rozumianych cyberataków, których celem było przełamanie zabezpieczeń systemów i sieci teleinformatycznych, z komponentem informacyjnym. Technika znana jako „hack-and-leak”, spopularyzowana przez Rosjan i ich działania w kontekście wyborów prezydenckich w Stanach Zjednoczonych w 2016 roku i rok później we Francji, teraz została zaadaptowana przez Iran, Hezbollah, Hamas oraz inne ugrupowania, a następnie użyta przeciwko Izraelowi. Rosjanie nadal ją wykorzystują w wojnie przeciwko Ukrainie. Warto również zwrócić uwagę, że zarówno w przypadku rosyjskiej agresji, jak i ataku Hamasu starano się uzyskać duży efekt propagandowy, wyolbrzymiając znaczenie cyberataków i publikując nieprawdziwe informacje za pomocą sieci fałszywych kont w mediach społecznościowych. Szerokie łączenie operacji wpływu z cyberatakami powoduje, że konieczne jest tworzenie instytucji i zespołów, które kompleksowo podchodzą do zagadnień tego typu.
Andrzej Kozłowski - ekspert ds. cyberbezpieczeństwa i dezinformacji. Doktor nauk politycznych. Były redaktor naczelny portalu CyberDefence24.pl. Prowadzi wykłady, szkolenia i konwersatoria z zakresu cyberbezpieczeństwa i walki z dezinformacją. Adiunkt na Uniwersytecie Łódzkim.
Konflikt pomiędzy Izraelem a Hamasem pokazuje, że cyberprzestrzeń jest obecnie wykorzystywana w każdym większym konflikcie zbrojnym, a w przyszłości domena ta może jedynie zyskiwać na znaczeniu z powodu masowej digitalizacji życia. Niemniej, przynajmniej na razie, to nie ta domena operacyjna decyduje o wynikach wojen na Bliskim Wschodzie czy inwazji rosyjskiej w Ukrainie. Nie oznacza to jednak, że można ją lekceważyć, ponieważ często odgrywa rolę tzw. mnożnika siły i pomaga w walce siłom konwencjonalnym. Warto przy tym pamiętać, że zdolności w cyberprzestrzeni mogą być wykorzystane minimalnym kosztem, szczególnie w pierwszej fazie konfliktu, co z pewnością czyni je ważnym i atrakcyjnym narzędziem w arsenale każdego państwa, choć sięgają po nie także organizacje i gracze niepaństwowi.
